PayPal патентует новый способ обнаружения украденных cookie - «Новости» » Интернет технологии
sitename
Из чего состоит разработка веб-приложений и зачем это знать бизнесу
Из чего состоит разработка веб-приложений и зачем это знать бизнесу
 Смартфоны Poco X7 Pro, Poco X7 и Poco F6 сочетают высокую производительность, надёжность и оригинальный дизайн - «Новости сети»
Смартфоны Poco X7 Pro, Poco X7 и Poco F6 сочетают высокую производительность, надёжность и оригинальный дизайн - «Новости сети»
 На заводах Hyundai будут работать «десятки тысяч» человекоподобных роботов Boston Dynamics - «Новости сети»
На заводах Hyundai будут работать «десятки тысяч» человекоподобных роботов Boston Dynamics - «Новости сети»
 Суд арестовал у Чубайса и экс-управленцев «Роснано» 5,6 млрд руб. по делу о планшетах Plastic Logic - «Новости сети»
Суд арестовал у Чубайса и экс-управленцев «Роснано» 5,6 млрд руб. по делу о планшетах Plastic Logic - «Новости сети»
 Apple существенно изменит дизайн iPhone 19 Pro в честь 20-летия iPhone - «Новости сети»
Apple существенно изменит дизайн iPhone 19 Pro в честь 20-летия iPhone - «Новости сети»
 Троян CraxsRAT использует NFCGate для кражи денег у российских пользователей - «Новости»
Троян CraxsRAT использует NFCGate для кражи денег у российских пользователей - «Новости»
 Королевская почта Великобритании расследует возможную утечку данных - «Новости»
Королевская почта Великобритании расследует возможную утечку данных - «Новости»
 РКН подготовил приказ об идентификации средств связи и пользовательского оборудования - «Новости»
РКН подготовил приказ об идентификации средств связи и пользовательского оборудования - «Новости»
 В Google Cloud устранена уязвимость, раскрывавшая конфиденциальную информацию - «Новости»
В Google Cloud устранена уязвимость, раскрывавшая конфиденциальную информацию - «Новости»
 Nvidia сделала PhysX и Flow полностью открытыми - «Новости сети»
Nvidia сделала PhysX и Flow полностью открытыми - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » PayPal патентует новый способ обнаружения украденных cookie - «Новости»

✔PayPal патентует новый способ обнаружения украденных cookie - «Новости»

28 февраля 2024 609 Новости / Отступы и поля / Изображения / Видео уроки / Заработок / Преимущества стилей / Формы / Блог для вебмастеров / Линии и рамки / Самоучитель CSS / Веб-дизайн 0

Компания PayPal патентует новый метод, позволяющий обнаружить кражу супер-cookie, что может улучшить механизм аутентификации на основе cookie и предотвратить атаки с целью захвата аккаунтов.


Проблема, с которой борется PayPal, заключается в том, что хакеры регулярно похищают файлы cookie, содержащие токены аутентификации, чтобы входить в учетные записи жертв без использования учетных данных и обходить двухфакторную аутентификацию (2ФА).


«Кража файлов cookie — это сложная форма кибератаки, при которой злоумышленник крадет или копирует файлы cookie с компьютера жертвы, — гласит патентная заявка PayPal. — Украденные файлы cookie часто содержат хешированные пароли, и злоумышленник может использовать веб-браузер на своем компьютере, чтобы выдать себя за пользователя (или его аутентифицированное устройство) и получить доступ к защищенной информации, связанной с учетной записью пользователя, без необходимости вручную входить в систему или предоставлять учетные данные для аутентификации».


Как объясняет издание Bleeping Computer, в отличие от стандартных файлов cookie, хранящихся локально, так называемые супер-cookie (они же flash cookie) представляют собой Local Shared Objects (LSO), которые внедряются на сетевом уровне в виде UIDH интернет-провайдером пользователя.


Эти супер-cookie используются в основном для межсайтового отслеживания, отслеживания пользователей в разных браузерах на одном устройстве, сбора данных о просмотрах и для фингерпринтинга устройств. Их сложнее обнаружить и удалить, поскольку они хранятся не в стандартном месте для хранения cookie.


Согласно патентной заявке, инженеры PayPal разработали метод расчета коэффициента риска мошенничества в механизме аутентификации на основе файлов cookie для выявления мошеннических попыток входа в систему. Так, когда система получает запрос на аутентификацию с устройства пользователя, она обнаруживает все места хранения файлов cookie на устройстве и сортирует их «в порядке возрастания риска мошенничества».





Для обеспечения защиты от несанкционированного доступа полученные значения cookie шифруются с помощью криптографического алгоритма с публичным ключом.


«С устройства извлекаются значения cookie из каждого места хранения. Для каждого места хранения после первого ожидаемое значение cookie рассчитывается на основе значения cookie предыдущего места хранения», — объясняют в PayPal.


Затем система оценивает степень риска, сравнивая ожидаемые значения cookie со значениями, присвоенными различным местам хранения на устройстве.


«Запрос на аутентификацию обрабатывается в зависимости от того, превышает ли присвоенный балл хотя бы для одного из мест хранения заранее установленный допустимый коэффициент риска мошенничества», — сообщается в документе.





Разумеется, как и в случае с другими патентами, нет никаких гарантий, что описанные в документе методы в итоге будут применяться в реальности. Однако заявка на патент подчеркивает, что кража веб cookie является достаточно серьезной проблемой, для борьбы с которой могут потребоваться новые механизмы защиты.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Компания PayPal патентует новый метод, позволяющий обнаружить кражу супер-cookie, что может улучшить механизм аутентификации на основе cookie и предотвратить атаки с целью захвата аккаунтов. Проблема, с которой борется PayPal, заключается в том, что хакеры регулярно похищают файлы cookie, содержащие токены аутентификации, чтобы входить в учетные записи жертв без использования учетных данных и обходить двухфакторную аутентификацию (2ФА). «Кража файлов cookie — это сложная форма кибератаки, при которой злоумышленник крадет или копирует файлы cookie с компьютера жертвы, — гласит патентная заявка PayPal. — Украденные файлы cookie часто содержат хешированные пароли, и злоумышленник может использовать веб-браузер на своем компьютере, чтобы выдать себя за пользователя (или его аутентифицированное устройство) и получить доступ к защищенной информации, связанной с учетной записью пользователя, без необходимости вручную входить в систему или предоставлять учетные данные для аутентификации». Как объясняет издание Bleeping Computer, в отличие от стандартных файлов cookie, хранящихся локально, так называемые супер-cookie (они же flash cookie) представляют собой Local Shared Objects (LSO), которые внедряются на сетевом уровне в виде UIDH интернет-провайдером пользователя. Эти супер-cookie используются в основном для межсайтового отслеживания, отслеживания пользователей в разных браузерах на одном устройстве, сбора данных о просмотрах и для фингерпринтинга устройств. Их сложнее обнаружить и удалить, поскольку они хранятся не в стандартном месте для хранения cookie. Согласно патентной заявке, инженеры PayPal разработали метод расчета коэффициента риска мошенничества в механизме аутентификации на основе файлов cookie для выявления мошеннических попыток входа в систему. Так, когда система получает запрос на аутентификацию с устройства пользователя, она обнаруживает все места хранения файлов cookie на устройстве и сортирует их «в порядке возрастания риска мошенничества». Для обеспечения защиты от несанкционированного доступа полученные значения cookie шифруются с помощью криптографического алгоритма с публичным ключом. «С устройства извлекаются значения cookie из каждого места хранения. Для каждого места хранения после первого ожидаемое значение cookie рассчитывается на основе значения cookie предыдущего места хранения», — объясняют в PayPal. Затем система оценивает степень риска, сравнивая ожидаемые значения cookie со значениями, присвоенными различным местам хранения на устройстве. «Запрос на аутентификацию обрабатывается в зависимости от того, превышает ли присвоенный балл хотя бы для одного из мест хранения заранее установленный допустимый коэффициент риска мошенничества», — сообщается в документе. Разумеется, как и в случае с другими патентами, нет никаких гарантий, что описанные в документе методы в итоге будут применяться в реальности. Однако заявка на патент подчеркивает, что кража веб cookie является достаточно серьезной проблемой, для борьбы с которой могут потребоваться новые механизмы защиты.
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: